Обеспечение информационной безопасности

Физическая безопасность

Физическая безопасность помещения - важнейшая составляющая системы защиты информации. Определение мер физической безопасности включает управление физическим доступом к подразделениям, а также к секретным отделам и помещениям. Например, центр регистрации и обработки данных должен иметь собственную систему контроля физического доступа. Как минимум, этот доступ должен быть строго ограничен. При определении мер физической безопасности необходимо выявить следующее:

• тип физической защиты здания, офисных помещений, документов на бумажных носителях и центра обработки данных;
• наличие ключей у персонала;
• засекреченные помещения здания или отдела (исключая центр обработки данных).

Определите расположение линий коммуникации внутри помещений и те места, где линии коммуникации входят в здание. В этих местах могут быть размещены подслушивающие устройства, поэтому подобные точки нужно включить в список критических областей. Включите в список и помещения, где возможно аварийное отключение.

Объектами физической безопасности являются источники энергии, системы контроля состояния окружающей среды и системы противопожарной безопасности, используемые в центре обработки данных. Соберите следующую информацию об этих системах:

• какую мощность потребляет подразделение;
• какую мощность потребляет центр обработки данных;
• какие типы источников бесперебойного питания установлены;
• как долго имеющиеся источники бесперебойного питания смогут поддерживать работоспособность системы;
• какие системы соединены с источниками бесперебойного питания;
• кто будет извещен в случае отключения электроэнергии;
• какая система контроля состояния окружающей среды подключена к источнику бесперебойного питания;
• какая система контроля состояния окружающей среды связана с центром обработки данных;
• кто будет извещен в случае выхода из строя системы контроля состояния окружающей среды;
• какой вид системы противопожарной безопасности установлен в центре обработки данных;
• может ли система противопожарной безопасности центра обработки данных среагировать на пожар, не угрожающий центру.

Примечание

Многие правила противопожарной безопасности требуют установки разбрызгивателей во всех частях здания. В последнем случае необходимо использовать систему пожаротушения, которая не использует воду.

Политики и процедуры

Многие политики и процедуры организации связаны с безопасностью. При проведении оценки должны быть исследованы следующие документы:

• политика безопасности;
• информационная политика;
• план восстановления в случае чрезвычайных происшествий;
• процедуры контрмер на чрезвычайное происшествие;
• политика и процедуры резервного копирования;
• справочное руководство работника или инструкции;
• процедуры найма-увольнения работников;
• принципы конфигурирования систем;
• правила межсетевых экранов;
• фильтры маршрутизатора;
• политика сексуальных домогательств на рабочем месте;
• политика физической безопасности;
• методология разработки программного обеспечения;
• методология смены программного обеспечения;
• телекоммуникационные политики;
• диаграммы сети;
• организационная диаграмма.

После получения вышеуказанных политик и процедур каждая из них исследуется на предмет значимости, правомерности, завершенности и актуальности.

Политика или процедура должна быть значимой для практической деловой деятельности, существующей в организации в настоящее время. Общие политики не всегда работают, поскольку не учитывают особенности той или иной организации. Процедуры должны определять методики выполнения текущих задач.

Политики и процедуры должны соответствовать цели, определенной в документе. При исследовании документа на правомерность проверяйте каждое требование на соответствие установленной цели политики или процедуры. Например, если целью политики безопасности является определение требований безопасности ко всем установленным компьютерным системам, она не должна описывать особые конфигурации для майн-фреймов, рабочих станций и клиент-серверных систем.

Политики и процедуры должны охватывать все стороны деятельности организации. Нередко можно обнаружить, что отдельные аспекты деятельности не нашли свое отражение в политике либо вовсе отсутствовали на момент создания политики. Изменения в технологиях очень часто приводят к изменениям в политиках и процедурах.

Политики и процедуры могут устаревать со временем. Причиной этому является не злоупотребление, а, скорее, небрежность. Морально устаревший документ становится бесполезным и "умирает". Организации в своей деятельности не стоят на месте, меняются системы и сетевое окружение. Если политики не адаптируются к появлению новых систем или новых направлений деятельности, то она теряет свое значение. Все политики и процедуры необходимо своевременно и обоснованно обновлять.

Кроме вышеописанных документов, в процессе оценки необходимо исследовать программу в области информированности о проблемах безопасности и материалы, используемые в соответствующих тренингах. Сравните эти материалы с существующими политиками и процедурами, чтобы увидеть, насколько точно они отражают организационную политику.

И в заключение, процедура оценки должна включать исследование сведений о недавних происшествиях и проверках. Это не значит, что вы можете всецело положиться на результаты предыдущей работы, скорее, требуется установить, есть ли прогресс в существующих сферах деятельности.

Меры предосторожности

Меры предосторожности обычно используются для восстановления работоспособного состояния после каких-либо инцидентов. Основными составляющими являются системы резервного копирования и план восстановления на случай чрезвычайных происшествий.

При оценке пригодности систем резервного копирования исследование должно быть глубже, чем просто просмотр политики и процедур резервного копирования. Необходимо произвести опрос системных операторов, чтобы понять, как на самом деле используется система. Получите ответы на следующие вопросы.

• Что представляет собой система резервного копирования?
• Для каких систем проводится резервное копирование и как часто?
• Где хранятся резервные копии?
• Как часто резервные копии перемещаются в архив?
• Выполнялась ли когда-либо проверка резервных копий?
• Как часто должны использоваться резервные копии?
• Повреждались когда-либо резервные копии?
• Как часто данные нуждаются в резервном копировании?

Ответы на эти вопросы прольют свет на эффективность существующих систем резервного копирования.

Исследуйте план восстановления на случай чрезвычайных происшествий, обращая внимание на его полноту. То, как план используется на самом деле, нельзя определить, просто читая его. Опросите служащих, которые будут использовать план, чтобы определить, использовался ли план когда-либо и был ли он действительно эффективен. Задайте им следующие вопросы.

• Использовался это план когда-либо?
• Какой был результат?
• Тестировался ли план?
• Какое оборудование имеется в распоряжении для устранения последствий бедствия?
• Какое альтернативное местоположение доступно?
• Кто несет ответственность за действия по устранению последствий бедствия?